针对ARP协议的病毒攻击的简单分析
前段时间,公司里的VPN-Server突然出现掉线的情况,导致广域网VPNClient无法连接。重新启动服务器,正常几分钟之后掉线情况又出现;郁闷~
使用其他拥有上网的主机ping DNS,都能够ping通,说明光纤线路正常。
在VPN-Server上运行arp命令查看IP-MAC映射解析表,网关的MAC值为:00-d0-70-03-a1-41;在开外一台拥有上网权限的主机A上使用相同命令,发现网关的MAC值为:00-16-e6-5d-65-3f,又在正常的主机B、主机C上查看网关MAC都等同于主机A;说明是VPN-Server的ARP映射表有问题。
在VPN-Server上将arp映射表清空,并将正确的网关IP-MAC映射值用手工方式绑定,运行arp -a查看:网关的IP-MAC正常,Type为static。
用管理工具查询到MAC地址为00-d0-70-03-a1-41的主机D,将其网线拔除进行杀毒操作。网络恢复正常。
原来主机D上中了ARP欺骗病毒,导致主机D将自己的MAC地址与网关的IP地址伪造出虚假的ARP响应包,并向整个网络广播;默认情况下每台主机的ARP高速缓存放的IP-MAC表都是动态改变的,且其在WINDOWS平台上的存活周期为50~60s,每台主机要与网关通信的时候都是先查看其ARP中是否存在IP-MAC,若存在,直接将网关的MAC地址放入以太网帧首部的目标地址中发送以太网数据报;若不存在,网络中发送一个ARP请求,等待相应主机将ARP响应发回,并添加到ARP高速缓存中。主机D频繁发送的ARP错误响应包使VPN-Server更改了自己的ARP高速缓存:将错误的IP-MAC 信息写入。这样,VPN-Server对网关发送的数据包全部错误发向了主机D,也就是说被主机D拦截,很多盗取密码的木马程序就是采用了ARP欺骗这种机制实现的。向ARP这种运行在链路层的重要协议是有必要了解掌握的,毕竟很多传输曾的高档协议都是依赖于网络层IP网际协议,而IP数据要想在链路层传导,必须得靠ARP、RARP这两个地址解析协议。
转载于:https://www.cnblogs.com/tran/archive/2006/12/09/587410.html
针对ARP协议的病毒攻击的简单分析相关推荐
- 宏碁再次遭遇勒索病毒攻击、谷歌分析8000万个勒索软件样本|10月15日全球网络安全热点
安全资讯报告 MyKings僵尸网络仍然活跃并赚取大量资金 MyKings僵尸网络(又名Smominru或DarkCloud)仍在积极传播,在它首次出现在野外五年后,通过加密货币赚取了大量资金. 作为 ...
- 网络-ARP协议详解与ARP欺骗(中毒)攻击实战
目录 简介 ARP报文 ARP流程 四种情况 ARP请求 ARP响应 ARP攻击原理 实战 ARP欺骗 环境 查看arp表 更新攻击机软件 使用ettercap进行攻击 查看劫持到的图片 ARP攻击防 ...
- arp协议的主要功能是_【思唯网络学院】ARP理论知识详解(一)
一.简介 ARP(Address Resolution Protocol,地址解析协议)是将IP地址解析为以太网MAC地址的协议. ARP安全是针对ARP攻击的一种安全特性,它通过一系列对ARP表项学 ...
- linux plc网络攻击,PLC攻击类型研究分析
引言 本文章结合作者在工控攻击以及协议分析方面的研究,对工控攻击类型进行分析. 当前接入互联网的PLC越来越多,暴露的攻击路径也越来越多,导致其更加容易遭受到攻击.本文主要对PLC的攻击进行简要的分析 ...
- 图解ARP协议(二)ARP攻击原理与实践
一.ARP攻击概述 在上篇文章里,我给大家普及了ARP协议的基本原理,包括ARP请求应答.数据包结构以及协议分层标准,今天我们继续讨论大家最感兴趣的话题:ARP攻击原理是什么?通过ARP攻击可以做什么 ...
- 局域网arp攻击_图解ARP协议(三)ARP防御篇-如何揪出“内鬼”并“优雅的还手”...
一.ARP防御概述 通过之前的文章,我们已经了解了ARP攻击的危害,黑客采用ARP软件进行扫描并发送欺骗应答,同处一个局域网的普通用户就可能遭受断网攻击.流量被限.账号被窃的危险.由于攻击门槛非常低, ...
- HTTP协议的web攻击和https简单介绍
Web 的攻击技术 1.针对 Web 的攻击技术 简单的 HTTP 协议本身并不存在安全性问题,因此协议本身几乎不会 成为攻击的对象.应用 HTTP 协议的服务器和客户端,以及运行在服 务器上的 We ...
- linux 服务器 iptables 防止arp病毒,Linux下防御ARP病毒攻击
Linux下防御ARP病毒攻击的类似文章网络上太多了,但效果各有千秋,这里写下我自己的心得. 方法一: 此法比较简单,简言之就是绑定网关的IP和MAC,命令如下: $ sudo arp -s 192. ...
- 对ARP病毒攻击的防范和处理及相应工具方法
如果在使用网络时速度越来越慢,直至掉线,而过一段时间后又可能恢复正常,或者,重启路由器后又可正常上网.故障出现时,网关ping 不通或有数据丢失,那么很有可能是受到了ARP病毒攻击.下面我就谈谈对这种 ...
- python实现局域网攻击软件_使用python的scapy库进行局域网内的断网攻击(基于ARP协议)...
(使用python scapy库进行网络攻击) ARP协议 ARP协议的基本功能就是通过目标设备的IP地址,查询目标设备的MAC地址,以保证通信的进行. ARP攻击的局限性: ARP攻击仅能在以太网( ...
最新文章
- 清华大学高鸣宇:基于Halide调度实现高效能的DNN加速
- python opencv 凸包
- C语言中字符型和浮点型能否相加,C语言中数据结构的基本类型(整型、浮点型和字符型)...
- 阿里云物联网边缘计算加载MQTT驱动
- STL13-list容器(链表)
- centos6下安装git
- shell 命令set -e的作用
- XcodeGhost漏洞
- 致远OA任意管理员登陆漏洞分析
- 30个免费的CSS3动画片段代码
- 什么是CTP程序化交易:系统入门
- Codeforces - Serval and Parenthesis Sequence
- 插入法排序(c语言)
- 百度搜索结果页链接地址即将升级
- 这位年轻人,把CryptoPunks送给了无聊猿公司?B轮4个亿?
- 【Hexo搭建个人博客】(十三)Next主题中添加首页文章置顶功能及置顶图标
- 利用人性弱点的互联网产品(三)虚荣
- OkHttp,蚂蚁金服Android架构面试题
- 欧国联 法国 vs 德国
- PDI(kettle) 阻塞数据直到步骤都完成、Blocking step组件用法及区别
热门文章
- Spring源码之bean的实例化createBeanInstance方法解读
- CentOS搭建git服务器实测
- 王彪20162321 2016-2017-2 《程序设计与数据结构》第4周学习总结
- 一次idea上使用logback+slf4j乱码的解决,问题不在logback
- Play framework request code 413
- UVa 483 - Word Scramble
- 国外字体设计师也是蛮重视数学的
- 20个开发人员非常有用的Java功能代码(一)
- oracle Fusion Applications 简介 (Oracle融合管理软件简介)
- [转]GDI+ 中发生一般性错误解决方案